CN101764788B - 基于扩展802.1x认证系统的安全接入方法 - Google Patents
基于扩展802.1x认证系统的安全接入方法 Download PDFInfo
- Publication number
- CN101764788B CN101764788B CN 200810147953 CN200810147953A CN101764788B CN 101764788 B CN101764788 B CN 101764788B CN 200810147953 CN200810147953 CN 200810147953 CN 200810147953 A CN200810147953 A CN 200810147953A CN 101764788 B CN101764788 B CN 101764788B
- Authority
- CN
- China
- Prior art keywords
- authentication
- points
- requester
- access
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于扩展802.1x认证系统的安全接入方法,是在EAPOL标准协议的基础上,通过扩展认证请求者EAPOL协议身份认证应答报文,增加安全接入标记,从而使得认证点控制进入安全接入流程;认证服务器和策略服务器通过认证点交互安全等级信息报文,从而实现认证请求者即终端用户通过二层接入设备安全可信接入网络。本发明通过扩展标准EAPOL协议,能够较好的满足二层接入设备对终端的接入控制;在不改变传统接入认证方式的情况下,充分保证了接入网络的边缘设备的真实、可信。
Description
技术领域
本发明涉及数据通信的接入技术,特别涉及终端设备利用802.1x协议通过二层接入设备安全接入的技术。
背景技术
伴随着网络应用的深入,网络安全问题也愈演愈烈,包括拒绝服务攻击,病毒、黑客入侵、间谍软件、网络钓鱼等在内的安全问题发生的几率越来越大,而且带来的危害也日益严重,成为互联网安全的重大威胁。传统网络通过分层安全性抵御安全攻击,如为网络周边、关键网络段和面向应用的授权等提供级别越来越高的安全保护;这些模式提供全面的网络接入,可以保护资源,防止外部威胁和非法应用接入,但仅靠网络边缘的外围设备已无法保证网络的安全性;即便运行着防火墙等网络周边安全机制,病毒、电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用终端用户设备渗入内部网络环境。在不安全端点的用户,也会不经意间将以上威胁带入内部网络,而用户对此却毫不觉察,甚至某些威胁随后可能会迅速蔓延,以致造成网络中断。人们意识到,传统的网络解决方案无法解决这些问题,必须要从接入终端的安全性着手,保证通过网络边缘设备接入的终端是安全的、可信的,使得用户身份识别和验证必须与端点评估结合在一起,且必须应用于每个会话及会话内部。现在面临的挑战是要找到尽可能利用现有网络基础设施的适当方法,同时为各类用户接入资源和应用提供简单安全的模式。
针对于此,业界提出了几种安全接入技术,目前具有代表性的技术包括:思科的网络接入控制NAC(Network AdmissionControl)技术,微软的网络接入保护技术NAP(Network AccessProtection)以及TCG组织的可信网络连接TNC(TrustedNetworkConnect)技术等。这些技术的主要思路都是从终端着手,通过事先制定的安全策略,对接入网络的主机进行安全性检测,自动拒绝不安全的主机接入,保护网络直到这些主机符合网络的安全策略为止。可信网络连接(TNC)是针对这种情况而提出的一种解决方案,旨在通过提供一致的安全服务体系结构来为网络提供安全性保障。可信网络连接(TNC),是可信计算组织(TrustedComputingGroup,简称TCG)的一个部门,也指开放的标准网络接入控制架构。TNC是建立在基于主机的可信计算技术之上的,其主要目的在于通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术,所以用TNC的权限控制策略可以估算目标网络的终端适应度。TNC网络构架会结合已存在的网络访问控制策略来实现访问控制功能。TNC规范的主要思想是,当终端要访问网络之前,要对终端的身份进行识别,并对其完整性状态进行检测并与系统的安全策略进行比较,如果满足安全策略要求,则允许终端接入网络;否则,则拒绝或是对该终端进行隔离。当终端处于隔离状态时,可以对该终端进行修复;当终端的完整性及其它安全属性达到系统安全策略的要求时,方可允许该终端接入网络。这样,可大大提高整个网络系统的安全性及可信性。
现有终端设备通过二层设备接入网络的方案中,802.1x协议是在接入身份认证方面广泛应用的协议,它是IEEE为了解决基于端口的接入控制(Port-BasedAccess Control)而定义的一个标准。关于802.1X协议的工作原理可参见公开号为CN1567868A(申请号03145192.6,公开日2005年1月19日)的专利申请说明书第1-4页和附图1-5。在这种接入模式下,用户终端作为支持局域网承载扩展认证协议(Extensible Authentication Protocol over LAN,简称EAPOL)的认证请求者,二层接入设备是支持802.1x协议的认证者,采用RADIUS认证服务器来对用户终端系统的身份进行认证;这种方式可以有效地解决接入用户身份认证的问题,但是无法同时解决终端的安全可信接入问题。因此,有必要对这种认证方式进行改进,来满足终端用户通过二层设备安全可信的接入网络的需求。
发明内容
本发明提供了一种基于扩展802.1x认证系统的安全接入方法,从而克服现有802.1x认证协议无法实现终端用户可信接入的问题。
基于扩展802.1x认证系统的安全接入方法,所述扩展802.1x认证系统包括认证请求者、认证点、认证服务器和策略服务器,其特征在于,所述认证请求者和认证点之间运行扩展的EAPOL协议,所述认证点与认证服务器之间运行鉴权用高层协议,所述认证方法包括如下步骤:
a、认证请求者向认证点发起标准EAPOL认证请求,启动认证;
b、认证点向认证请求者发送身份认证请求报文;
c、认证请求者向认证点发送扩展的身份认证应答报文,该扩展的身份认证应答报文带有安全接入标记;
d、认证点收到认证请求者的身份认证应答报文后,记录该认证请求者身份信息带有安全接入标记,到对应的认证服务器进行认证;
e、认证点收到认证服务器认证成功消息后,查询到该认证请求者身份信息带有安全接入标记后,通知认证请求者策略服务器的IP地址和端口信息,打开通向策略服务器的数据通道;
f、认证请求者通过认证点接收到策略服务器的信息后,会通过加密通道连接策略服务器,请求安全规则;
g、策略服务器通过认证点将安全规则下发到认证请求者,认证请求者运行安全规则并计算安全结果,通知认证点;
h、认证点根据安全结果,决定是否打开通向访问网络的数据通道或将认证请求者重定向到隔离区。
进一步的,步骤c中,所述扩展的身份认证应答报文带有的安全接入标记是在标准身份认证应答报文的最后添加的。
其中,步骤d中,认证点到对应的认证服务器进行认证的具体步骤包括,
d1、认证点提交认证请求者的身份信息给认证服务器;
d2、认证服务器产生向认证点返回一个身份验证质询请求报文;
d3、认证点将身份验证质询请求报文发送给认证请求者;
d4、认证请求者向认证点答复身份验证质询请求报文;
d5、认证点将认证请求者的答复结果通过访问请求报文发送到认证服务器;
d6、认证服务器根据存储的认证请求信息判断该认证请求者是否合法,然后回应成功/失败报文到认证点。
其中,步骤e中,所述打开通向策略服务器的数据通道是在固定时间内打开的,且该固定时间是可以配置的。
其中,步骤f中,所述的加密通道是指SSL隧道。
具体的,步骤h中,认证点根据安全计算结果打开通向访问网络的数据通道的条件是,认证请求者安全级别计算结果不低于预定义的级别要求。
具体的,所述认证点与认证服务器之间运行鉴权用高层协议为RADIUS服务器。
本发明的有益效果是,通过扩展标准EAPOL协议,能够较好的满足二层接入设备对终端的接入控制;在不改变传统接入认证方式的情况下,充分保证了接入网络的边缘设备的真实、可信。
附图说明
图1是本发明中扩展的802.1x认证系统结构示意图。
图2是现有技术的标准的802.1x认证流程图。
图3是本发明方法中安全接入的流程示意图。
具体实施方式
本发明针对二层接入设备的特点,通过扩展EAPOL协议,实现一种终端安全可信接入的方法。如图1,扩展的802.1X的认证系统包括,认证请求者,认证点、认证服务器和策略服务器。其中认证请求者对应安全终端、认证点对应二层接入设备;策略服务器用于向安全终端下发安全策略和对接入设备的安全管理。所述的安全终端安装在用户的计算机上,提供EAPOL协议支持和安全等级计算功能。所述的二层接入设备一般指以太网交换机,支持EAPOL协议。标准的EAPOL协议仅仅从用户名和密码角度对用户的安全进行限制,但是在可信接入的框架下,接入的用户不仅仅要求进行密码认证,还需要对终端安全级别进行判断,从而双重验证后,才判断是否可以接入。
以EAP-MD5方式,说明现有技术的802.1x的工作过程,如图2所示:
1)认证请求者产生认证开始报文,启动认证;
2)认证点发送回应报文,要求认证请求者提供身份信息;
3)认证请求者向认证点发送含有用户名的身份认证应答报文;
4)认证点将此报文封装在鉴权用高层协议报文中,发送给认证服务器;
5)认证服务器产生一个MD5质询,发送给认证点,
6)认证点转发该MD5质询到认证请求者;
7)认证请求者收到该报文后,根据返回的MD5算法,计算出用户密码的MD5结果发送到认证点;
8)认证点将此MD5密码信息封装在鉴权用高层协议报文中,发送给认证服务器;
9)认证服务器根据返回的加密后的密码值,对该认证请求者用户进行身份认证,将认证成功或失败的信息传送给认证点;
11)认证点将根据结果,开启或关闭数据通路。
本发明的安全接入方法是在EAPOL标准协议的基础上,一方面扩展了安全终端EAPOL协议身份认证应答报文,另外增加了认证点和认证服务器和策略服务器交互的安全等级信息报文,从而实现终端用户通过二层接入设备安全可信接入网络。
实施例
现结合图3,对本发明的安全接入过程进行详细说明:当安全终端用户和二层接入设备建立好物理连接后,安全终端向二层接入设备按照标准EAPOL协议发送一个EAPOL认证开始报文,启动802.1xR认证,二层接入设备向安全终端发送EAP身份认证请求报文,要求安全终端提交用户名。安全终端回应一个扩展的EAP身份认证应答报文给二层接入设备,该应答报文中包含用户名信息,同时带有安全接入的标记信息。二层接入设备记录该带有安全标记的应答报文,并将用户名提交给RADIUS认证服务。RADIUS认证服务器产生一个128位的质询,并向二层接入设备回应一个访问质询报文,里面含有EAP-MD5质询请求报文。二层接入设备将EAP-MD5质询请求报文发送给安全终端,安全终端收到后,将密码采用MD5算法进行加密,产生质询密码,通过EAP-MD5质询应答报文把质询密码发给二层接入设备。二层接入设备将质询密码通过访问请求报文发送到RADIUS认证服务器,由RADIUS认证服务器进行认证,RADIUS认证服务器根据存储的认证请求信息判断该安全终端用户是否合法,然后回应成功/失败报文到二层接入设备。二层接入设备根据认证成功结果,进入安全控制流程:通知安全终端策略服务器的IP地址和端口信息,并在一个固定的时间内打开数据通路(如果超时,安全控制流程自动结束,策略服务器通道关闭);安全终端收到了策略服务器的通知消息后,会通过SSL连接策略服务器,请求安全规则;策略服务器将安全规则下发到安全终端用户本地,安全终端用户的安全计算模块运行规则并计算安全结果;终端用户将计算出的安全结果通知给二层接入设备;二层接入设备根据安全结果,决定是否继续打开或关闭数据通道;二层接入设备通知终端用户最终请求结果。
本发明的关键点就在在终端用户应答认证点的身份认证请求报文时,在标准EAPOL协议的IdentifyName消息的最后,添加一定字节的标识字段,具体字节数可以根据用户自定义的特殊标识而定。当带有该安全接入标记的IdentifyName消息到达认证点后,认证点可以根据该标记控制该安全终端进入安全接入流程;否则可以直接按照标准的认证结果来执行相应的操作。
二层接入设备在进入安全接入控制流程后,为了安全角度考虑,可以在一个固定时间内暂时开放接入策略服务器的数据通道;超时则关闭该通道,拒绝该安全终端用户接入内网。
本发明充分利用了EAPOL协议的原有特点和优势,即在基于二层接入设备上实现了在密码认证和终端安全级别双认证,然后又实施对终端用户准予接入的安全可信接入策略,是安全可信接入标准框架在二层接入设备上的一种实现方式。同时二层接入设备上扩展的协议也同时兼容原有标准EAPOL协议终端,不论对于我方扩展终端用户或第三方终端用户,都可以保持兼容。
Claims (7)
1.基于扩展802.1x认证系统的安全接入方法,所述扩展802.1x认证系统包括认证请求者、认证点、认证服务器和策略服务器,所述认证点为二层接入设备,其特征在于,所述认证请求者和认证点之间运行扩展的EAPOL协议,所述认证点与认证服务器之间运行鉴权用高层协议,所述认证方法包括如下步骤:
a、认证请求者向认证点发起标准EAPOL认证请求,启动认证;
b、认证点向认证请求者发送身份认证请求报文;
c、认证请求者向认证点发送扩展的身份认证应答报文,该扩展的身份认证应答报文带有安全接入标记;
d、认证点收到认证请求者的身份认证应答报文,记录该认证请求者身份信息带有安全接入标记后,到对应的认证服务器进行认证;
当认证点收到未带有安全接入标记认证请求者的身份认证应答报文时,则直接到对应的认证服务器进行认证,并根据认证结果开起或关闭访问网络的数据通道,结束本次接入认证;
e、认证点收到认证服务器认证成功消息后,查询到该认证请求者身份信息带有安全接入标记后,通知认证请求者策略服务器的IP地址和端口信息,打开通向策略服务器的数据通道;
f、认证请求者通过认证点接收到策略服务器的信息后,会通过加密通道连接策略服务器,请求安全规则;
g、策略服务器通过认证点将安全规则下发到认证请求者,认证请求者运行安全规则并计算安全结果,通知认证点;
h、认证点根据安全结果,决定是否打开通向访问网络的数据通道或将认证请求者重定向到隔离区。
2.如权利要求1所述基于扩展802.1x认证系统的安全接入方法,其特征在于,步骤c中,所述扩展的身份认证应答报文带有的安全接入标记是在标准身份认证应答报文的最后添加的。
3.如权利要求2所述基于扩展802.1x认证系统的安全接入方法,其特征在于,所述步骤d中,认证点到对应的认证服务器进行认证的具体步骤包括,
d1、认证点提交认证请求者的身份信息给认证服务器;
d2、认证服务器产生并向认证点返回一个身份验证质询请求报文;
d3、认证点将身份验证质询请求报文发送给认证请求者;
d4、认证请求者向认证点答复身份验证质询应答报文;
d5、认证点将认证请求者的答复结果通过访问请求报文发送到认证服务器;
d6、认证服务器根据存储的认证请求信息判断该认证请求者是否合法,然后回应成功/失败报文到认证点。
4.如权利要求1-3任一项所述基于扩展802.1x认证系统的安全接入方法,其特征在于,步骤e中,所述的打开通向策略服务器的数据通道是在固定时间内打开的,且该固定时间是可以配置的。
5.如权利要求4所述基于扩展802.1x认证系统的安全接入方法,其特征在于,步骤f中,所述的加密通道是指SSL隧道。
6.如权利要求4所述基于扩展802.1x认证系统的安全接入方法,其特征在于,步骤h中,认证点根据安全计算结果打开通向访问网络的数据通道的条件是,认证请求者安全级别计算结果不低于预定义的级别要求。
7.如权利要求4所述基于扩展802.1x认证系统的安全接入方法,其特征在于,所述认证点与认证服务器之间运行鉴权用高层协议为RADIUS协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810147953 CN101764788B (zh) | 2008-12-23 | 2008-12-23 | 基于扩展802.1x认证系统的安全接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810147953 CN101764788B (zh) | 2008-12-23 | 2008-12-23 | 基于扩展802.1x认证系统的安全接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101764788A CN101764788A (zh) | 2010-06-30 |
| CN101764788B true CN101764788B (zh) | 2013-01-30 |
Family
ID=42495777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810147953 Active CN101764788B (zh) | 2008-12-23 | 2008-12-23 | 基于扩展802.1x认证系统的安全接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101764788B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248616A (zh) * | 2012-02-14 | 2013-08-14 | 中兴通讯股份有限公司 | Dlna网络中进行身份验证的方法及装置、系统 |
| CN104917777A (zh) * | 2015-06-24 | 2015-09-16 | 马秋平 | 一种终端接入安全认证方法 |
| CN107770119A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种网络准入指定域的控制方法 |
| CN107819791A (zh) * | 2017-12-11 | 2018-03-20 | 迈普通信技术股份有限公司 | 访客接入网络的认证方法、认证服务器和系统 |
| CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、系统及存储介质 |
| CN113098825B (zh) * | 2019-12-23 | 2023-10-17 | 迈普通信技术股份有限公司 | 一种基于扩展802.1x的接入认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705262A (zh) * | 2004-05-27 | 2005-12-07 | 华为技术有限公司 | 网络安全防护系统及方法 |
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101272627A (zh) * | 2008-04-30 | 2008-09-24 | 杭州华三通信技术有限公司 | 实现漫游的网络接入控制方法及设备 |
-
2008
- 2008-12-23 CN CN 200810147953 patent/CN101764788B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1705262A (zh) * | 2004-05-27 | 2005-12-07 | 华为技术有限公司 | 网络安全防护系统及方法 |
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
| CN101272627A (zh) * | 2008-04-30 | 2008-09-24 | 杭州华三通信技术有限公司 | 实现漫游的网络接入控制方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101764788A (zh) | 2010-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| US8407462B2 (en) | Method, system and server for implementing security access control by enforcing security policies | |
| CA2407482C (en) | Security link management in dynamic networks | |
| US20170302644A1 (en) | Network user identification and authentication | |
| US20140189807A1 (en) | Methods, systems and apparatus to facilitate client-based authentication | |
| US20080022354A1 (en) | Roaming secure authenticated network access method and apparatus | |
| US20100250921A1 (en) | Authorizing a Login Request of a Remote Device | |
| CN110830446B (zh) | 一种spa安全验证的方法和装置 | |
| US7032026B1 (en) | Method and apparatus to facilitate individual and global lockouts to network applications | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| TW200952435A (en) | System and method identity verification applicable to exclusive simulation network | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| Ande et al. | SSO mechanism in distributed environment | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN115486030A (zh) | 流氓证书检测 | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
| CN114915534B (zh) | 面向信任增强的网络部署架构及其网络访问方法 | |
| US11177958B2 (en) | Protection of authentication tokens | |
| US20090083844A1 (en) | Synchronizing between host and management co-processor for network access control | |
| Lee et al. | Intelligent pervasive network authentication: S/key based device authentication | |
| Pandhare et al. | A Secure Authentication Protocol for Enterprise Administrative Devices | |
| Maidine et al. | Cloud Identity Management Mechanisms and Issues | |
| Purohit et al. | Tracing the root of" rootable" processes | |
| CN117544374A (zh) | 基于证书认证的服务访问方法及装置 | |
| CN118200036A (zh) | 网络安全隔离方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: No. 1, No. 288 building, 610041 floor, Maipu Sichuan province Chengdu Tianfu Avenue, 17 floor Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041 Sichuan city of Chengdu province high tech Zone nine Hing Road No. 16 building, Maipu Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: 610041 nine Xing Xing Road 16, hi tech Zone, Sichuan, Chengdu Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 610041, 17 floor, maple building, 1 building, 288 Tianfu street, Chengdu, Sichuan. Patentee before: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd. |